可以使用 vSphere Client 重新整理 vCenter Server STS 簽署憑證。VMware Certificate Authority (VMCA) 核發新憑證並取代目前憑證。

重新整理 STS 簽署憑證時,VMware Certificate Authority (VMCA) 會核發新憑證,並取代 VMware Directory Service (vmdir) 中的目前憑證。STS 開始使用新憑證核發新 Token。在增強型連結模式組態中,vmdir 會將新憑證從核發 vCenter Server 系統上傳到連結的所有 vCenter Server 系統。重新整理 STS 簽署憑證時,必須重新啟動 vCenter Server 系統以及增強型連結模式組態中的任何其他 vCenter Server 系統。

如果使用自訂產生的 STS 簽署憑證或第三方 STS 簽署憑證,則重新整理動作會使用 VMCA 核發的憑證覆寫該憑證。若要更新自訂產生的 STS 簽署憑證或第三方 STS 簽署憑證,請使用匯入和取代選項。請參閱使用 vSphere Client 匯入並取代 vCenter Server STS 憑證

VMCA 核發的 STS 簽署憑證有效期為 10 年,且不是對外憑證。除非貴公司的安全性原則需要,否則請勿取代此憑證。

必要條件

若要管理憑證,您必須提供本機網域管理員 (預設為 [email protected]) 的密碼。如果要更新憑證,還必須為在 vCenter Server 系統上具有管理員權限的使用者提供 vCenter Single Sign-On 認證。

程序

  1. 使用 vSphere Client 登入 vCenter Server
  2. 指定 [email protected] 或 vCenter Single Sign-On 管理員群組的其他成員的使用者名稱和密碼。
    如果在安裝期間指定了其他網域,請以 administrator@ mydomain 身分登入。
  3. 導覽至憑證管理 UI。
    1. 首頁功能表中,選取管理
    2. 憑證下,按一下憑證管理
  4. 如果系統提示您,請輸入 vCenter Server的認證。
  5. STS 簽署憑證下,按一下動作 > 使用 vCenter 憑證重新整理
    如果使用自訂產生的 STS 簽署憑證或第三方 STS 簽署憑證,則重新整理動作會使用 VMCA 產生的憑證覆寫該憑證。
    備註: 如果出於合規性原因而使用第三方憑證,重新整理可能會導致您的 vCenter Server 系統不符合標準。此外,如果使用自訂產生的 STS 簽署憑證或第三方 STS 簽署憑證,則 Security Token Service 不再將該自訂憑證或第三方憑證用於 Token 簽署。
  6. 按一下重新整理
    此時 VMCA 會重新整理此 vCenter Server 系統以及任何連結的 vCenter Server 系統上的 STS 簽署憑證。
  7. (選擇性) 如果顯示強制重新整理按鈕,表明 vCenter Single Sign-On 偵測到問題。按一下強制重新整理之前,請考慮以下潛在結果。
    • 如果所有受影響的 vCenter Server 系統均未至少執行 vSphere 7.0 Update 3,則不支援憑證重新整理。
    • 選取強制重新整理要求重新啟動所有 vCenter Server 系統,並且可能會致使這些系統在重新啟動之前無法正常運作。
    1. 如果不確定影響,請按一下取消並研究您的環境。
    2. 如果確定影響,請按一下強制重新整理繼續重新整理,然後手動重新啟動 vCenter Server 系統。

下一步

若要確保增強型連結模式組態中的所有 STS 服務均驗證新 Token,則必須重新啟動連結的 vCenter Server 系統。請參閱 vCenter Server 組態說明文件中有關如何將 vCenter Server 重新開機的主題。